Dal 25 maggio 2018 entrerà in vigore il GDPR, ovvero il Regolamento Generale sulla Protezione dei Dati, che comporterà notevoli cambiamenti in materia di trattamento dei dati per le aziende operanti nel mercato unitario.
Hai bisogno di un corso sul GDPR?
Ti serve un corso sul GDPR? Inserisci le tue esigenze su Improovo, la piattaforma ti inoltrerà gratuitamente diversi preventivi preparati sulle tue esigenze dai migliori esperti.
Sommario
GDPR: cambia la disciplina sulla Privacy
Il GDPR comporta una revisione totale della gestione dei flussi di dati e dei processi aziendali ad essi relativi, e il risultato di questo cambiamento avrà effetti positivi che riguarderanno sia i singoli individui sia i business aziendali, poiché i primi preferiranno sempre più brand capaci di garantire i loro diritti, mentre le aziende otterranno benefici di ampia portata, tra cui consistenti risparmi di costi, dati da una maggiore efficienza nella gestione dei dati, e una migliore percezione del brand da parte del mercato.
GDPR: sanzioni pecuniarie molto salate
Il mancato adeguamento alla normativa comporterà sanzioni pecuniarie di notevoli importi, di conseguenza ogni azienda dovrà adottare, entro breve tempo, le misure necessarie per adeguarsi alle novità introdotte.
Perché seguire un corso sul GDPR?
Anche se manca ancora molto all’entrata in vigore del GDPR, alcune novità contenute in esso impongono alle aziende un’attenta pianificazione fin da adesso, in quanto comportano modifiche organizzative significative e investimenti di natura tecnologica.
L’attenzione va, per prima cosa, rivolta all’individuazione dei massimi rischi per l’azienda. Si rende altresì necessaria l’individuazione, all’interno dell’organizzazione, dei responsabili principali per il GDPR, in base all’area di riferimento. Incaricato a svolgere quest’attività è il DPO (data protection officer), ovvero il responsabile della privacy dei dati della società.
Tra i possibili candidati possiamo trovare: responsabili HR, per formazione, comunicazioni e dati relativi al personale; del settore marketing, per la tutela del brand e dei dati relativi ai clienti; infine del reparto IT, per tutto ciò che concerne la sicurezza.
Inoltre dovranno essere esaminate le cinque aree di attenzione principali, citate di seguito:
Governance – bisogna stabilire come convertire il Regolamento in azioni, norme e valori. E’ necessario anche valutare quali misure adottare, la loro efficacia e la possibilità di migliorarle, secondo la c.d. Privacy by Design. Inoltre bisogna scegliere le figure aziendali che si occuperanno di questi processi.
Comunicazione – è fondamentale, inoltre, istruire l’organico aziendale sui requisiti della normativa, in particolar modo sui rischi e sull’impatto di un uso improprio dei dati.
Processi – si rende necessario esaminare come il GDPR influenzerà i processi aziendali, quale sarà l’impatto e come potranno esser gestiti i cambiamenti richiesti.
Dati – è basilare offrire la trasparenza e l’affidabilità richieste dal GDPR e per poterlo fare è utile regolamentare e garantire la qualità dei dati a disposizione, farne una valutazione, conoscere gli scopi per i quali vengono utilizzati, senza dimenticare di rendere partecipi anche i singoli consumatori,i clienti o terze parti.
Sicurezza – tutte quelle misure atte alla tutela dei diritti fondamentali della privacy, come la tutela della sicurezza e della riservatezza dei dati personali, ma anche l’indicazione di un utilizzo consono, gli avvisi, il consenso, la possibilità di scelta, di accesso, di rettifica o cancellazione. Questo elemento chiave della normativa può inoltre rappresentare un fattore competitivo di differenziazione e porre le basi per una fidelizzazione di clienti e partner commerciali.
Ma ora entriamo nello specifico della normativa.
GDPR: ecco le principali novità e le figure di riferimento
Nell’aprile 2016, è stato approvato dal Parlamento europeo il Regolamento n° 2016/679, il cosiddetto GDPR-General Data Protection Regulation, riguardante la «Data Protection», che in Italia abolisce il «Codice in materia di protezione dei dati personali (c.d. «Codice Privacy).
Questo strumento legislativo è self-executing, ovvero vincolante e direttamente applicabile (in base al Trattato sul Funzionamento dell’Unione Europea).
Si è scelta questa strada per superare i limiti della precedente Direttiva, che è stata applicata in modi differenti in base alle diverse disposizioni dei singoli Paesi membri. Il testo definitivo del Regolamento è entrato in vigore il 24 maggio 2016, e tutti i Paesi Membri dell’UE avranno tempo fino al 25 maggio 2018 per adeguarsi.
In seguito ad una maggiore globalizzazione, al progresso delle tecnologie e dei servizi digitali, allo sviluppo di internet, e il conseguente cambiamento dei concetti di privacy e protezione dei dati personali (es. big data analysis, pseudonimizzazione, data mining) si è reso necessario emanare nuove norme in materia di protezione dati.
L’adozione del GDPR serve a rendere più solida, semplice, coerente la struttura normativa relativa alla protezione dati oltre che per favorire lo sviluppo del digitale all’interno dell’UE. Per far ciò, è stata prevista l’applicazione delle norme comunitarie a tutte quelle società stabilite all’estero operanti nel mercato europeo che trattano dati personali e che offrono beni/servizi a soggetti residenti nell’Ue o ne osservano il comportamento .
Tra le principali novità introdotte dal Regolamento vi sono le seguenti:
Principio di «Accountability»
Il GDPR ufficializza il principio di «accountability» secondo cui le imprese, titolari dei dati di clienti, dipendenti, consulenti, sono tenute a conformarsi alle normative introdotte nel Regolamento e, in caso di problemi o controlli, comprovare di aver adottato modelli organizzativi, politiche e misure di sicurezza adeguate per la protezione dei dati. Per fare questo le aziende devono adottare una serie di strumenti indicati nel GDPR. In primis, il registro delle attività di trattamento deve contenere una serie di informazioni, tra le quali le finalità del trattamento, le categorie dei soggetti interessati e dei dati personali trattati, oltre all’indicazione delle misure di sicurezza adottate. Questo strumento consente di controllare accuratamente le operazioni di trattamento dati all’interno della società. Il registro svolge la duplice funzione di strumento operativo, con cui gestire in maniera ordinata i dati e gli altri elementi utili per assicurare la corretta gestione dei dati personali, sia di documento tramite il quale il Titolare del trattamento può dimostrare di aver rispettato la normativa.
a) Right to be forgotten
È il diritto di ottenere la cancellazione dei dati personali dal titolare del trattamento senza ingiustificato ritardo in presenza di specifici presupposti.
Il «diritto all’oblio» è espressione del diritto alla privacy relativo a vicende personali diffuse via web oramai desuete e/o sconosciute ai più. Si dovranno trovare quindi soluzioni tecniche che consentano la cancellazione automatica dei dati non solo sul singolo sistema aziendale, tramite il quale i dati sono stati raccolti, ma anche su tutti gli altri sistemi aziendali all’interno dei quali sono stati diffusi.
c) Privacy by design/by default
La privacy by design consiste nell’adozione di misure tecnico-organizzative, durante la progettazione di un nuovo prodotto o servizio, a protezione dei dati, minimizzando l’uso di questi ultimi per qualsivoglia scopo (privacy by default) e consentendone l’accesso soltanto agli incaricati autorizzati.
e) Data breach
Obbligo di comunicare all’Autorità competente ed alla clientela, entro 72 ore, eventuali violazioni di sicurezza che comportano in modo accidentale o illecito la distruzione, la perdita, la modifica, la diffusione o l’accesso, non autorizzati, ai dati personali.
f) Data Protection Impact Assessment
È necessario valutare preventivamente l’impatto privacy per limitare la possibilità e gravità dei rischi per i diritti e le libertà dei soggetti terzi in base alla loro natura, portata o finalità. Questo processo consente di acquisire le competenze necessarie riguardo le misure, le garanzie e i meccanismi previsti per ridurre i rischi e assicurare la conformità del trattamento alla normativa.
g) Data Protection Officer (artt. 37-39)
Obbligo per imprese ed enti, che trattano o controllano dati sensibili su larga scala, di incaricare un Data Protection Officer per la verifica dell’applicazione del Regolamento.
Pseudonimizzazione
Strumento fondamentale per l’ottenimento della protezione dei dati su larga scala, nel caso in cui non si possa evitare del tutto l’uso di dati personali. Si tratta di un processo volto a «mascherare l’identità» di una persona, non a celarla. La pseudonimizzazione rappresenta una misura di sicurezza in quanto consente di ridurre la correlabilità di un insieme di dati ad un determinato soggetto.
Misure di sicurezza
Il Regolamento prevede l’adozione di misure idonee a garantire un livello di sicurezza adeguato al rischio dei trattamenti e alla natura dei dati. Gli adempimenti richiesti alle imprese si dividono nelle seguenti due categorie:
- valutazione dei rischi relativi al trattamento dati;
- attuazione di misure per limitare i rischi.
Le aziende devono mettere in atto misure di sicurezza che bilancino da una parte l’evoluzione tecnologica e dall’altra i rischi per i diritti e le libertà delle persone che i trattamenti comportano.
Sanzioni: chi e quanto si rischia con la GDPR
La violazione delle disposizioni del Regolamento può comportare sanzioni pecuniarie fino a 20 Mln € o fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Possono inoltre aggiungersi eventuali sanzioni civili.
Hai bisogno di un corso sul GDPR?
Ti serve un corso sul GDPR? Inserisci le tue esigenze su Improovo, la piattaforma ti inoltrerà gratuitamente diversi preventivi preparati sulle tue esigenze dai migliori esperti.
